Tc 011. 772/2010-7 Natureza: Relatório de Auditoria Interessado: Tribunal de Contas da União. Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti) Advogado constituído nos autos: não há. Sumário



Baixar 3,88 Mb.
Página9/16
Encontro01.07.2018
Tamanho3,88 Mb.
1   ...   5   6   7   8   9   10   11   12   ...   16

Anexo I
Os documentos e informações solicitadas neste anexo serão tratados como evidências das

respostas do questionário em formato PDF encaminhadas em atenção às solicitações contidas no {Aviso/Ofício} {aviso/ofício}, de {data do aviso/ofício}. As requisições farão referência aos itens do questionário supra.

1. Com relação ao processo de planejamento estratégico institucional do órgão:

1.1. evidências que comprovem a resposta ao item 2.1 do questionário.

1.2. caso exista um plano estratégico institucional (PEI) ou documento equivalente:

1.2.1. cópia do plano com evidência da formalização no âmbito {do/da} {natureza jurídica e órgão auditado} (a formalização envolve a aprovação de um documento pelos responsáveis e a posterior publicação para todos os interessados);

1.2.2. evidências de que houve envolvimento das diversas áreas de negócio no planejamento estratégico institucional;

1.2.3. evidências de que os planos de ação são divulgados para os servidores da instituição;

1.2.4. evidências de que houve desdobramento (planos de ação de curto e médio prazos estabelecidos) pelas unidades executoras e alinhados com as iniciativas estratégicas do PEI;

1.2.5. evidências de que o PEI é avaliado.

2. Com relação ao planejamento de tecnologia da informação (PO1 – Definir um planejamento estratégico de TI):

2.1. evidências que comprovem a resposta ao item 2.2 do questionário;

2.2. caso exista um plano estratégico de TI, ou documento equivalente:

2.2.1. cópia do plano com evidência da formalização no âmbito {do/da} {natureza jurídica e órgão auditado};

2.2.2. informar as partes envolvidas na elaboração do plano;

2.2.3. apresentar o desdobramento do plano pelas unidades executoras (internas ou externas ao ente), com respectivas evidências de formalização no âmbito {do/da} {natureza jurídica e órgão auditado};

2.2.4. se o plano é divulgado, anexar evidências dessa divulgação;

2.2.5. se o plano é acompanhado, anexar evidências do acompanhamento, incluindo a última avaliação realizada.

2.3. evidências que comprovem a resposta ao item 2.3 do questionário.

3. Com relação à organização e aos relacionamentos da TI (PO4 – Definir processos, organização e relacionamentos de TI):

3.1. evidências que comprovem a resposta ao item 1.1 do questionário;

3.2. caso exista comitê de TI, suas evidências de deliberações ;

3.3. evidências que comprovem a resposta ao item 2.4 do questionário;

3.4. planilha contendo a quantidade de funcionários da área de TI do Unidade, agrupados por perfil profissional;

3.5. caso exista um documento formal que expresse a definição de papéis e responsabilidades dos profissionais de TI {do/da} {natureza jurídica e órgão auditado}:

3.5.1. cópia do documento com evidência de formalização, no âmbito {do/da} {natureza jurídica e órgão auditado};

3.5.2. apresentar definição de responsabilidades e de atribuições do Coordenador-Geral de gestão de tecnologia da informação, das unidades e dos cargos componentes da CGTI;

3.6. relação de papéis sensíveis da área de TI {do/da} {natureza jurídica e órgão auditado}, indicando se são exercidos por servidores públicos {do/da} {natureza jurídica e órgão auditado}, nomeados a cargos em comissão ou funcionários de empresas prestadoras de serviços, ou ainda se estão vagos. Consideram-se papéis sensíveis as atividades de gestão (planejamento, coordenação, controle e supervisão), conforme previsto no § 7º, do art. 10, do Decreto-Lei 200/1967, e as atividades executivas consideradas críticas no âmbito de cada ente (e.g., segurança da informação, administração de banco de dados, levantamento de requistos). As atividades executivas consideradas críticas podem variar de um ente para outro;

3.7. informar se a estrutura de recursos humanos do setor de informática (quantitativo e qualificação dos servidores) é suficiente para o desempenho das atribuições da área e para o atendimento das necessidades do órgão, anexando os estudos que embasem essa informação.

4. Com relação ao processo orçamentário relativo ao setor de TI (PO5 – Gerenciar investimentos de TI):

4.1. evidências que comprovem a resposta ao item 7.15 do questionário;

4.2. caso existam planos estratégicos ou táticos de TI, o Plano de Gastos para 2010 e a vinculação entre os gastos e as ações previstas no(s) plano(s);

4.3. planilha que controle periodicamente a execução dos gastos da área de TI do ano corrente, em função da disponibilidade orçamentária.

5. Com relação ao processo de desenvolvimento de software que apoie a administração da qualidade dos produtos de software (PO8 – Gerenciar a qualidade):

5.1. evidências que comprovem a resposta ao item 7.3 do questionário;

5.2. caso exista um processo de software estabelecido:

5.2.1. descrição dos papéis dos profissionais envolvidos;

5.2.2. lista das atividades previstas no processo;

5.2.3. para um projeto em execução ou finalizado, anexar:

5.2.3.1. documento de requisitos, composto minimamente de uma lista de requisitos e de especificações de casos de uso;

5.2.3.2. registro de aceite dos requisitos;

5.2.3.3. registro de histórico das mudanças nos requisitos;

5.2.3.4. cronograma do projeto, evidenciando o seu acompanhamento.

6. Com relação ao processo de gerenciamento de projetos (PO10 – Gerenciar projetos):

6.1. evidências que comprovem a resposta ao item 7.4 do questionário;

6.2. caso exista um processo de gerenciamento de projetos de TI estabelecido:

6.2.1. descrição dos papéis dos profissionais envolvidos;

6.2.2. lista das atividades previstas no processo;

6.2.3. para um projeto em execução ou finalizado, anexar:

6.2.3.1. definição do escopo;

6.2.3.2. cronograma;

6.2.3.3. orçamento;

6.2.3.4. lista de riscos (com seus respectivos tratamentos previstos);

6.2.3.5. fases do ciclo de vida do projeto;

6.2.3.6. plano para execução do projeto homologado por todos os envolvidos.

7. Com relação ao processo de gestão de serviços de TI (DS1 – Definir e gerenciar níveis de serviços, DS3 – Gerenciar capacidade e desempenho, DS4 – Assegurar a continuidade dos serviços, DS8 – Gerenciar a central de serviço e os incidentes, DS9 – Gerenciar a configuração, DS 10 – Gerenciar os problemas, DS13 – Gerenciar as operações e AI 6 – Gerenciar mudanças):

7.1. evidências que comprovem a resposta ao item 7.6 do questionário;

7.2. caso exista um processo de gestão de mudanças de TI estabelecido:

7.2.1. descrição dos papéis dos profissionais envolvidos;

7.2.2. lista das atividades previstas no processo;

7.2.3. lista de mudanças que contenha:

7.2.3.1. classificação das mudanças (exemplo de classificação: mudanças de infraestrutura, software);

7.2.3.2. priorização das mudanças;

7.2.3.3. avaliação do impacto das mudanças;

7.3. caso exista um processo de gestão de incidentes de TI estabelecido:

7.3.1. descrição dos papéis dos profissionais envolvidos;

7.3.2. lista das atividades previstas no processo;

7.3.3. lista de incidentes ocorridos em 2010 que contenha:

7.3.3.1. incidentes classificados por escala de gravidade (exemplo de classificação: urgente, grave, significante etc) e estado (aberto, resolvido etc);

7.3.3.2. datas de abertura e fechamento do incidente;

7.3.3.3. histórico de ações executadas em virtude do incidente;

7.4. caso exista um processo de gestão de configuração de TI estabelecido:

7.4.1. descrição dos papéis dos profissionais envolvidos;

7.4.2. lista das atividades previstas no processo;

7.4.3. artefatos previstos:

7.4.3.1. base de dados de gestão da configuração do ambiente computacional (CMDB);

7.4.3.2. ferramenta de gestão de configuração implantada de modo a garantir que as informações dos itens de configuração possam ser acessadas no repositório.

8. Com relação ao processo de gestão da segurança da informação (DS5 – Garantir a segurança dos sistemas):

8.1. evidências que comprovem a resposta ao item 7.2 do questionário;

8.2. caso exista um gestor de Segurança da Informação e Comunicações, designado formalmente, evidências de sua atuação;

8.3. caso exista um comitê de segurança da informação e comunicações instituído formalmente, evidências de sua deliberação;

8.4. evidências que comprovem a resposta ao item 7.1 do questionário;

8.5. caso os ativos de informação sejam inventariados (primeira opção do item 7.1 do questionário):

8.5.1. amostra mais recente do inventário dos ativos de informação do Unidade;

8.6. caso as informações para o negócio sejam classificadas (segunda opção do item 7.1 do questionário):

8.6.1. formalização (aprovação e publicação) de documento corporativo classificando as classes de informação utilizadas pelo Unidade (ex.: restrita, sigilosa etc);

8.7. caso exista um processo de gestão de riscos de segurança da informação e comunicações em vigor (terceira opção do item 7.1 do questionário):

8.7.1. descrição dos papéis dos profissionais envolvidos (exemplos de papéis: Alta Administração, gestores de Segurança da Informação e Comunicações);

8.7.2. lista das atividades previstas no processo;

8.7.3. artefatos previstos:

8.7.3.1. plano de análise e avaliação de riscos, que contenha:

8.7.3.1.1. lista de riscos;

8.7.3.1.2. avaliação dos riscos identificados por meio da probabilidade e impacto associado;

8.7.3.1.3. relação dos riscos que requeiram tratamento, em ordem de priorização;

8.7.3.2. plano de tratamento de riscos, que contenha:

8.7.3.2.1. formas de tratamento de riscos (aceitação, mitigação, transferência ou eliminação);

8.7.3.2.2. ações a serem tomadas para o tratamento dos riscos.

8.8. caso exista uma equipe de tratamento e resposta a incidentes em redes computacionais (Etri), apresentar evidências de sua atuação.

9. Com relação ao processo de capacitação dos profissionais de TI (PO7.2-Competências Pessoais e PO7.4-Treinamento do Pessoal):

9.1. evidências que comprovem a resposta ao item 1.3 do questionário;

9.2. evidências que comprovem a resposta ao item 6.3 do questionário;

9.3. evidências que comprovem a resposta ao item 6.4 do questionário;

9.4. plano anual de capacitação de profissionais de TI para o ano de 2010, caso exista.

10. Com relação ao processo de monitoração do desempenho na gestão e uso da TI (ME1 – Monitorar e avaliar o desempenho de TI, ME2 – Monitorar e avaliar os controles internos):

10.1. evidências que comprovem a resposta ao item 1.2 do questionário;

10.2. evidências que comprovem a resposta ao item 1.4 do questionário.

11. Com relação ao processo de contratação de bens e serviços de TI:

11.1. evidências que comprovem a resposta ao item 7.10 do questionário.

11.2. informar se há controles {no/na} {natureza jurídica e órgão auditado} que promovam o cumprimento da IN 4/2008-SLTI, apresentando evidências de que esse controle é utilizado e é monitorado (para o Poder Judiciário substituir por “Informar se há controles {no/na} {natureza jurídica e órgão auditado}que promovam que os termos de referência ou projetos básicos para contratações de TI sejam elaborados a partir de estudos técnicos preliminares e que promovam o cumprimento da IN 4/2008-SLTI, apresentando evidências de que esse controle é utilizado e monitorado”).

12. Com relação ao processo de gestão de contratos de TI:

12.1. Evidências que comprovem a resposta ao item 7.11 do questionário.

12.2. Informar se, no processo de fiscalização da execução dos contratos de TI, há algum tipo de controle (p.ex., utilização de alguma lista de verificação), que permita identificar se todas as obrigações do contratado foram cumpridas (p.e., produtos foram entregues, obrigações previdenciárias e trabalhistas, manutenção das condições de habilitação e pontuação, quando for o caso), apresentando evidências de que esse controle é utilizado e é monitorado.


Anexo II

1. Apresentar planilha contendo relação de contratos de bens e serviços de TI {do/da} {natureza jurídica e órgão auditado}, com fim de vigência (do último aditivo, se for o caso) posterior a 1º/1/2010, inclusive os que estão em vigor, com as seguintes informações:

a) identificador do contrato;

b) CNPJ da contratada;

c) razão social da contratada;

d) objeto da contratação;

e) identificador do edital de licitação;

f) modalidade e tipo de licitação;

g) data da celebração do contrato;

h) valor total do contrato (incluindo aditivos);

i) elemento e subelemento de despesa onde ocorre a liquidação;

j) número de aditivos;

k) fim do período de vigência (incluindo aditivos).

Situação dos processos consolidados




Item

TC

Tipo de fiscalização

Unidade Técnica

Jurisdicionado

Acórdão

1

000.390/2010-0

Levantamento

Sefti

321 órgãos e entidades

2.308/2010-TCU-Plenário

2

009.982/2010-8

Conformidade (ACGTI)

Sefti

Dnit

866/2011-TCU-Plenário

3

013.718/2010-0

Conformidade (ACGTI)

Sefti

SE/MS

757/2011-TCU- Plenário

4

013.674/2010-2

Conformidade (ACGTI)

Secex/RR

Ibama

111/2011-TCU-Plenário e

432/2011 – TCU – Plenário



5

014.088/2010-0

Conformidade (ACGTI)

Secex/9

Susep

2.746/2010-TCU-Plenário

6

013.671/2010-3

Conformidade (ACGTI)

Secex/SP

TRT-2ª Região (SP)

2.938/2010-TCU-Plenário

7

013.761/2010-2

Conformidade (ACGTI)

Secex/RR

SE/MCT

380/2011-TCU-Plenário

8

017.791/2010-3

Conformidade (ACGTI)

Secex/1

Anatel

465/2011-TCU- Plenário

9

019.052/2010-3

Conformidade (ACGTI)

Secex/CE

Dnocs

592/2011-TCU-Plenário

10

018.044/2010-7

Conformidade (ACGTI)

Secex/RJ

Finep

7.312/2010-TCU –

2ª Câmara



11

018.911/2010-2

Conformidade (ACGTI)

Secex/5

SE/MRE

758/2011-TCU-Plenário

12

017.903/2010-6

Conformidade (ACGTI)

Secex/RS

TRT-4ª Região (RS)

381/2011-TCU-Plenário

13

022.488/2010-3

Conformidade (ACGTI)

Secex/6

FNDE

594/2011-TCU-Plenário

14

024.193/2010-0

Conformidade (ACGTI)

Secex/AM

ADE

2.612/2011-TCU-Plenário

15

024.956/2010-4

Conformidade (ACGTI)

Sefti

SE/MP

2.613/2011-TCU-Plenário

16

010.474/2010-2

Conformidade (AE)

Sefti

Dnit

2.831/2011-TCU-Plenário

17

022.241/2010-8

Conformidade (AE)

Sefti

SRF/MF e SE/MP

Aguardando comentário do gestor (Sefti)

18

029.074/2010-0

Conformidade (AE)

Sefti

SE/MS e SAS/MS

No gabinete do relator

19

029.120/2010-1

Conformidade (AE)

Sefti

CGTI/MCT

No gabinete do relator

20

028.772/2010-5

Monitoramento

Sefti

onze órgãos e entidades

1.145/2011-TCU-Plenário

Memória de cálculo do volume dos recursos fiscalizados (VRF)


Item

TC

Jurisdicionado

VRF (R$)

1

000.390/2010-0

321 órgãos e entidades

Não se aplica

2

009.982/2010-8

Dnit

85.721.272,30

3

013.718/2010-0

SE/MS

55.806.530,96

4

013.674/2010-2

Ibama

5.916.981,77

5

014.088/2010-0

Susep

8.463.096,88

6

013.671/2010-3

TRT-2ª Região (SP)

563.808,00

7

013.761/2010-2

SE/MCT

10.466.020,00

8

017.791/2010-3

Anatel

7.965.065,65

9

019.052/2010-3

Dnocs

-

10

018.044/2010-7

Finep

95.010.568,74

11

018.911/2010-2

SE/MRE

0,00

12

017.903/2010-6

TRT-4ª Região (RS)

10.188.480,00

13

022.488/2010-3

FNDE

5.495.492,88

14

024.193/2010-0

ADE

8.211.846,75

15

024.956/2010-4

SE/MP

695.317.550,73

16

010.474/2010-2

Dnit

43.804.323.279,26

17

022.241/2010-8

SRF/MF e SE/MP

2.842.224.443,49

18

029.074/2010-0

SE/MS e SAS/MS

Não se aplica

19

029.120/2010-1

CGTI/MCT

3.292.152,00

20

028.772/2010-5

onze órgãos e entidades

Não se aplica







Total

47.638.966.589,42


1   ...   5   6   7   8   9   10   11   12   ...   16


©livred.info 2017
enviar mensagem

    Página principal